Implementar segurança de acesso a dados
O HDInsight é um serviço de PaaS e o padrão mais implementado é a separação completa da computação do armazenamento. Nesses padrões, a segurança de acesso a dados fornece proteção a dados inativos e proteção ao tráfego entre o HDInsight e a camada de dados. Essas áreas de segurança estão fora do alcance dos recursos de segurança específicos do HDInsight e são realizadas por recursos de segurança disponíveis no armazenamento do Azure e nos serviços de rede. Abaixo está a lista de recomendações sobre como a segurança de acesso a dados pode ser obtida em clusters do HDInsight. Você pode optar por implementar algumas ou todas essas recomendações com base no seu caso de uso.
Permitir solicitações de armazenamento somente de conexões seguras
A transferência segura permite solicitações provenientes de conexões seguras (https) e rejeita todas as conexões provenientes de http. Antes de criar o cluster, você deve habilitar uma transferência segura. Clique no botão do controle deslizante "Selecionar Transferência Segura necessária" para "Habilitado". Conheça as recomendações de segurança de melhores práticas para o ADLSG2, incluindo transferência segura.
Implementar ACLs (listas de controle de acesso) para o ADLS Gen2
O modelo de controle de acesso do ADLS Gen2 dá suporte ao RBAC (Controle de Acesso Baseado em Função) do Azure e ao POSIX, como controle de acesso (ACL). Você pode optar por implementar o modelo de ACL no nível do POSIX para o HDInsight para configurar a autenticação de passagem para arquivos e pastas. Cada arquivo ou diretório no ADLS Gen2 tem permissões distintas para essas identidades.
- O usuário proprietário
- O grupo proprietário
- Usuários nomeados
- Grupos nomeados
- Todas as entidades de serviço
- Identidades gerenciadas nomeadas
- Todos os outros controles de acesso no nível POSIX de usuários para arquivos e pastas do ADLS Gen2 podem, assim, ser concedidos a grupos e usuários de domínio do HDInsight, e essas autorizações serão respeitadas por todos os serviços do HDInsight durante o acesso. Saiba mais sobre o Controle de Acesso no Azure Data Lake Storage Gen2.
Firewalls do armazenamento do Azure
O firewall do armazenamento do Azure usa a política de rede de "negar-tudo, permitir por exceção" para garantir que apenas as entidades da lista de permissões possam obter acesso à conta de armazenamento. Os firewalls de armazenamento podem ser configurados para habilitar o acesso à conta de um endereço IP confiável fixo ou um intervalo de IP confiável predeterminado. Verifique se a conta de armazenamento pode ser acessada por serviços confiáveis da Microsoft para habilitar recursos como registro em log. Você pode habilitar o Firewall do Azure em sua conta de armazenamento na folha Firewalls e redes virtuais, conforme descrito abaixo.
TLS (segurança de camada de transporte) para um cliente de armazenamento fora do cluster do HDInsight
Habilitar TLS na conta de armazenamento garante que os dados em trânsito para e da conta de armazenamento sejam criptografados. O armazenamento do Azure usa o TLS 1.2 em pontos de extremidade HTTPs públicos, mas ainda há suporte para TLS 1.0 e TLS 1.1 para compatibilidade com versões anteriores. Para garantir uma conexão segura e em conformidade com o Armazenamento do Microsoft Azure, é necessário habilitar o TLS 1.2 ou versão mais recente no lado do cliente antes de enviar solicitações para operar o serviço Armazenamento do Microsoft Azure. Nesse caso, o TLS 1.2 já está habilitado por padrão quando uma conta de armazenamento troca dados com o HDInsight e você não precisa fazer nada específico para habilitá-lo. Saiba mais sobre o TLS seguro para clientes de armazenamento do Azure.
Pontos de extremidade de serviço de rede virtual
O HDInsight dá suporte a pontos de extremidade de serviço de VNet para Armazenamento de Blobs do Azure, Azure Data Lake Storage Gen2, Cosmos DB e Banco de Dados SQL. No contexto da segurança do HDInsight, os pontos de extremidade de serviço da VNet podem ser configurados em contas de armazenamento, metastores de cluster e Cosmos DB para permitir o acesso apenas da sub-rede do HDInsight. O tráfego que muda entre essas entidades e o HDInsight sempre permanece no backbone do Azure. Na conta de armazenamento, os pontos de extremidade do serviço da VNet podem ser habilitados na folha Firewalls e Redes Virtuais clicando em Adicionar rede virtual existente/nova, escolhendo o botão de opção Permitir acesso da rede selecionada e fornecendo informações da VNet da qual o acesso deve ser permitido. Nesse caso, você inseriria a VNet e a sub-rede do HDInsight da qual deseja acessar essa conta de armazenamento. No exemplo a seguir, a conta de armazenamento poderá acessar o tráfego somente das três sub-redes do HDInsight especificadas explicitamente.
Para Bancos de Dados SQL, os pontos de extremidade de serviço da VNet podem ser configurados na folha Firewalls e redes virtuais.
Saiba mais sobre Pontos de extremidade de serviço da VNet no Azure.
Chaves gerenciadas pelo cliente
A criptografia de dados inativos é um requisito importante para segurança em cenários de Big Data. O armazenamento do Azure criptografa todos os dados em uma conta de armazenamento usando chaves gerenciadas pela Microsoft por padrão. No entanto, os clientes podem optar por trazer as próprias chaves para aproveitar o controle adicional sobre os dados deles. No portal, a folha Criptografia na conta de armazenamento é usada para determinar as configurações de chave na conta de armazenamento. Escolha usar a própria chave e selecione um URI de chave ou selecione uma chave no Azure Key Vault. Saiba mais sobre Chaves gerenciadas pelo cliente para o armazenamento do Azure.
Da mesma forma, para clusters do Kafka, você pode usar a própria chave (Bring Your Own Key) ao criar o cluster para criptografar todos os dados inativos de agentes.